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La presente invention se rapporte a un procede 
d' authentif ication par cl6 secrete d'au moins un 
utilisateur, en vue par exemple d'autoriser ou non cet 
utilisateur a acceder a des ressources lorsque l'anonymat 
5 de 1 'utilisateur qui s ' authentif ie est requis . 

Dans la presente description, le terme de ressources doit 
§tre pris avec une acceptation tres large et designe de 
maniere generale toute fonction, application, service, 
ensemble de donnees a laquelle un utilisateur pent 

10 acceder et dont l'acces est conditionne par une 
autorisation prealable delivree a 1' issue d'une procedure 
d' authentif ication . A titre d' exemple non limitatif, il 
peut s'agir d'un service fourni par un serveur 
specialise, une fonction d'acces un reseau, une 

15 ressource informatique telle qu'une base de donnees ou 
une application logicielle disponible sur un serveur et 
pouvant etre partagee par plusieurs utilisateurs . 

D'une maniere generale, 1 ' authentif ication est un service 
20 de securite realise par une entite d' authentif ication, 
dont 1'objectif est de valider l'identite d'un 
utilisateur qui souhaite s ' identifier , apportant par la 
merae la preuve de la legitimite de cet utilisateur a 
acceder aux ressources concernees . Une entite 
25 d' authentif ication designe commun^ment tout equipement, 
machine ou systeme informatique qui permet de centraliser 
un processus d' authentif ication et qui est accessible par 
des utilisateurs souhaitant s ' authentif ier pour l'acces a 
des ressources, via un reseau de telecommunication. 
30 De facon usuelle, un utilisateur souhaitant declencher un 
processus d' authentif ication dispose d'une entite cliente 
lui permettant de communiquer avec 1' entite 
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d'authentification. Une entity cliente dans la presente 
description, designe tout systeme ou equipement 
electronique permettant d'echanger des donnees avec 
1' entity d'authentification, de preference sans contact. 
5 Selon l'art anterieur, 1 ' authentif ication par cle secrete 
se caracterise essentiellement par la succession d'etapes 
suivantes telles que representees a la figure 1. Ainsi, 
lorsque une entite cliente A souhaite s ' authentif ier 
aupres d'une entite d'authentification B, elle fournit 
10 dans un premier temps son identite a 1' entite B, sous la 
forme d'un identifiant statique qui lui est specif ique, 
et la prouve ensuite par 1 ' utilisation d'une cle secrete 
K A connue et partagee par les entites A et B seulement. 
Pour ce faire, lorsque 1' entite d'authentification B 

15 revolt une demande d'authentification emise par une 
entite cliente se presentant a elle comme detentrice de 
1' identite A, ladite entite d'authentification genere 
d'abord un nombre aleatoire appele alea, ou encore appele 
challenge, et envoie cet alea & 1' entite cliente A. En 

20 retour, 1 ' entite cliente chiffre, on dit encore signe, 
1'alea regu selon un algorithme cryptographique predefini 
a cle secrete, tel que 1 ' algorithme DES (acronyme anglo- 
saxon pour « Data Encryption Standard ») . L ' entite A 
renvoie alors a 1' entite d'authentification B la valeur 

25 C(K A , al4a) , ou C est une fonction cryptographique. 
L 7 entite B effectue de son cote le mime calcul en 
utilisant la fonction cryptographique C et la cle secrete 
de A K A/ et compare le resultat obtenu avec la valeur 
que lui a retourne 1' entite A. En cas de coherence entre 

30 le resultat attendu et la valeur que lui a retournee A, 
1' entite d'authentification B valide 1 ' authentif ication, 
signifiant ainsi que A a reussi a s ' authentif ier . La 
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validation de 1 ' authentif ication se traduit par example 
par 1' envoi par l'entite d' authentif ication a destination 
de l'entite cliente A qui a ete authentif ie, des droits 
d'acc^s aux ressources. 

5 

De telles methodes d' authentif ication a cle secrete sont 
largement repandues dans les reseaux de 

telecommunications, mais presentent toutefois un certain 
nombre d'inconvenients en ce qui concerne la garantie de 

10 l'anonymat de l'entite cliente souhaitant s ' authentif ier . 
En effet, pour initialiser le processus 

d' authentif ication, un identifiant specif ique de l'entite 
cliente est n^cessairement transmis en clair a l'entite 
d' authentif ication. Ainsi, un tiers malveillant est a 

15 m§me de connaitre 1 1 identifiant specifique de l'entite 
qui s ' authentif ie par 1 ' observation de la transaction 
entre l'entite d' authentif ication et l'entite 
s ' authentif iant . 

20 De plus, 1' identifiant specifique d'une entite souhaitant 
s' authentif ier peut £galement etre deduite par un tiers 
malveillant agissant cette fois de facon active, c'est-a- 
dire en initialisant un processus d' authentif ication en 
se faisant passer pour une entite d' authentif ication vis- 

25 a-vis de l'entite s ' authentif iant . 

Une entite s ' authentif iant peut encore etre reconnue par 
1 ' observation de son comportement et, plus 
particulierement par 1 ' observation des reponses fournies 
30 par l'entite au cours de processus d' authentif ication 
ant^rieurs . 
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En effet, les reponses fournies par une entite 
s' authentif iant sont caracteristiques de certaines 
entrees correspondant aux aleas qui lui ont ete soumis 
par 1' entite d' authentif ication et, pour une meme entree, 
5 1' entite s ' authentif i ant fournira tou jours la meme 
reponse. En observant au prealable la reponse de 1' entite 
a des valeurs caracteristiques d'alea, il est possible de 
reconnaitre une entite s ' authentif iant en lui soumettant 
a nouveau une de ces valeurs d'alea pour laquelle une 
10 reponse de 1' entite a deja ete observee . Ainsi, une 
entite qui signe des aleas pour s ' authentif ier peut etre 
caracterisee par sa reponse pour une valeur d'alea 
particuliere (par exemple, 0, 10, 100, 1000, etc....). En 
observant deux identifications successives avec le meme 
alea, il est done possible de deduire si ce sont deux 
entites distinctes ou la meme entite qui se sont 
authentif iees . 
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La presente invention a pour but de remedier a ces 
20 inconvenients en proposant un procede d' authentif ication 
base sur un algorithme de chiffrement a cle secrete, dans 
lequel l'anonymat de 1 ' entite s ' authentif iant est 
garanti, de sorte a ce que seule une entite 
d' authentif ication legitime puisse reconnaitre l'identite 
25 de 1' entite qui s ' authentif ie et persorme d' autre. 



Avec cet objectif en vue, 1' invention a pour objet un 
procede d' authentif ication d'au moins une entite cliente 
par une entite d' authentif ication, ladite entite 
30 d' authentif ication comprenant un ensemble de cles 
secretes, chacune etant associee it une entite cliente 
susceptible d'etre identifiee par ladite entite 
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d' authentif ication, ledit proced6 etant caracterise en ce 
qu'il comprend les Stapes suivantes consistant h : 
a-transmettre une demande d' authentif ication anonyme de 
la part de l'entite cliente vers l'entite 
d ' authenti f ication ; 

b-envoyer de l'entite d ' authentif ication vers l'entite 
cliente, une valeur de compteur d' authentif ication 
correspondant a l'£tat courant d'un compteur de l'entite 
d' authentif ication; 

c-verifier, cot6 entite cliente, que la valeur de 
compteur d' authentif ication regue est strictement 
superieure a une valeur de compteur memorisee par 
l'entite cliente ; 

d-calculer, c6te entite cliente, une signature de 
compteur par application d'une fonction cryptographique 
partagee par l'entite cliente et l'entite 
d' authentif ication, avec comme operandes ladite valeur de 
compteur d' authentif ication et une cle secrete associee a 
l'entite cliente ; 

e-transmettre ladite signature de compteur a l'entite 
d' authentif ication ; 

f-mettre a jour la valeur de compteur memorisee par 
l'entite cliente avec ladite valeur de compteur 
d' authentif ication; 

g-rechercher, c6te entite d' authentif ication, au moins 
une entite cliente susceptible d'etre identifiee, pour 
lacjuelle la signature de compteur correspondante pour 
ladite valeur de compteur d' authentif ication est 
coherente avec la signature de compteur regue ; 
h-faire croitre le compteur d' authentif ication . 




De preference, les etapes b) a h) sont reiterees au moins 
une fois, de sorte a s' assurer que 1' entite cliente 
identifi^e est identique a chaque iteration. 
Selon un mode de realisation particulier , 1'etape de 
5 recherche cons is te a : 

i-calculer, pour chaque entite cliente susceptible d'§tre 
identifiee, la signature de compteur correspondante par 
application de la fonction cryptographique avec comme 
operandes la valeur de compteur d' authentif ication et la 
10 cle secrete associee, de sorte a etablir une liste de 
couples entite cliente susceptible d'etre 

identified/ signature de compteur correspondante, pour 
ladite valeur de compteur; 

j -verifier la coherence entre la signature de compteur 
15 regue et au moins une signature de compteur de ladite 
liste. 

De preference, la liste des couples entite cliente 
susceptible d'etre identif iee/signature de compteur 
correspondante 6tablie pour une valeur de compteur 
20 d' authentif ication donn£e, est ordonn^e, c6te entite 
d' authentif ication, selon la valeur de ladite signature 
de compteur . 

Selon ce mode de realisation, en cas de coherence entre 
la signature de compteur regue et la signature de 
25 compteur d'une pluralite de couples, les etapes b) a h) 
sont reiterees jusqu'a obtention d'un couple unique pour 
lequel la signature de compteur correspond a la signature 
de compteur regue. 

De preference, lors de la repetition de 1'etape i) , la 
30 signature de compteur est calculee uniquement pour les 
entit^s clientes correspondant k ladite plurality de 
couples determines & 1 ' iteration pr6c£dente. 
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Dans une variante, le procede selon 1 ' invention consiste 
a mettre en oeuvre l'etape i) de maniere anticipee par 
rapport a une demande d' authentif ication issue d'une 
5 entite cliente a l'etape a) , ladite 6tape i) anticipee 
consistant a pre-etablir, cote entite d' authentif ication, 
pour au moins une valeur de coinpteur d' authentif ication a 
venir, la liste des couples entite cliente susceptible 
d'etre identifiee/ signature de compteur correspondante 

10 pour chacune desdites valeurs de compteur 
d' authentif ication a venir, et a memoriser lesdites 
listes pr6-etablies c6te entite d' authentif ication, tout 
envoi de 1' entite d' authentif ication vers 1' entite 
cliente d'une valeur de compteur d ' authentif ication, 

15 correspondant a 1 ' envoi d'une valeur de compteur 
d' authentif ication pour laquelle une liste des couples 
entite cliente susceptible d'§tre identifiee /signature de 
compteur correspondante a deja ete pre-etablie . 
De preference, l'etape h) consiste a faire croitre le 

20 compteur d' authentif ication d'un pas fixe. 

Dans une variante, l'etape h) consiste a faire croitre le 
compteur d' authentif ication d'un pas aleatoire. 
Selon un mode de realisation particulier, en reponse a 
une demande d' authentif ication, l'etape b) consiste a 

25 envoyer, cdte entite d' authentif ication, en plus de la 
valeur de compteur d' authentif ication, une valeur 
aleatoire associee a ladite valeur de compteur, ladite 
valeur aleatoire etant differente pour chacune des 
valeurs de compteur d' authentif ication envoyee, chaque 

30 etape de signature de compteur mise en oeuvre au cours 
dudit procede etant remplacee par une etape de signature 
du couple valeur de compteur d' authentif ication/ valeur 
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aleatoire associee, consistant en 1 ' application de la 
fonction cryptographique comprenant en plus comme 
operande ladite valeur aleatoire associee. 

Selon une variante, l'etape c) consiste en outre a 
verifier que la difference entre la valeur de compteur 
d'authentif ication regue et la valeur de compteur 
memorisee par 1 ' entite cliente est inferieure ou egale a 
une valeur predeterminee . 

Dans une variante, lorsque l'etape c) n'est pas verifiee, 
les etapes intermedial res suivantes sont mises en oeuvre 
consistant a : 

-envoyer de 1' entite cliente vers 1' entite 
d' authentif ication, la valeur de compteur memorisee par 
1' entite cliente ; 

-envoyer de 1' entite d' authentif ication vers 1' entite 
cliente, une valeur de compteur d' authentif ication 
teraporaire superieure a ladite valeur de compteur 
memorisee* par 1' entite cliente, puis a : 

-mettre en oeuvre les etapes d) a g) sur la base de la 
valeur de compteur d' authentif ication temporaire et, en 
cas de succes de 1 ' authentif ication de ladite entite 
cliente, 

-mettre a jour la valeur de compteur d' authentif ication 
correspondant a l'etat courant du compteur de 1' entite 
25 d'authentif ication avec la valeur de compteur 
d'authentif ication temporaire et mettre en oeuvre l'etape 
h) . 

De preference, l'etape e) consiste a transmettre en outre 
a 1' entite d' authentif ication la valeur de compteur 
30 d ' authentif ication . 
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De preference, la valeur de compteur d' authentif ication 
est cod^e sur au moins 128 bits. 

L ' invention concerne £galement une carte a puce, 
caracteris^ en ce qu'elle comprend un circuit integre et 
des moyens de memorisation d'une cle secrete et de mise 
en ceuvre du procede selon 1' invention. 

De preference, il s'agit d'une carte a puce sans contact. 
L' invention concerne encore une entite d' authentif ication 
d'au moins une entite cliente, caracterise en ce qu'elle 
comprend un lecteur de carte a puce dote§ de moyens pour 
la mise en ceuvre du proced£ selon 1' invention. 
De preference, 1' entite d' authentif ication comprend un 
lecteur de carte a puce sans contact. 

D'autres caracteristiques et avantages de la presente 
invention apparaxtront plus clairement a la lecture de la 
description suivante donn£e a titre d'exemple illustratif 
et non limitatif et faite en reference aux figures 
annexees dans lesquelles : 

-la figure 1 est un schema illustrant un processus 
d' authentif ication par cle secrete selon l'etat de la 
technique, et a deja 6te decrite ; 

-la figure 2 est un schema illustrant les principales 
etapes du procede d' authentif ication selon la presente 
invention. 

La figure 2 decrit done les etapes principales du procede 
d' authentif ication par cle secrete d'une entite cliente A 
par une entite d' authentif ication B, selon la presente 
invention. 
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L'entite A souhaitant s ' authentif ier possede une cle 
secrete K A qui lui est propre, un moyen de memorisation 
d'une valeur de compteur CA, ainsi qu'une fonction 
5 cryptographique de signature S, partagee egalement par 
l'entite d' authentif ication B, et qui est prevue pour 
s'appliquer avec les deux operandes suivants : une cle 
secrete et une valeur de compteur, de sorte a signer la 
valeur de compteur. 

10 

L'entite d' authentif ication B comprend quant a elle une 
liste de couples (Ai, K Ai ) , Ai etant le nom d'une des n 
entites clientes susceptibles d'etre authentif iees par 
l'entite d ' authentif ication B et K Ai etant la cle secrete 
15 associee a l'entite cliente Ai qui lui est propre. 
L'entite d' authentif ication comprend egalement un 
compteur COMPTB deiivrant une valeur de compteur CB et la 
fonction cryptographique S, identique a celle implementee 
dans l'entite cliente A. 

20 

Le deroulement du processus d' authentif ication anonyme 
selon 1' invention est le suivant. Dans une premiere 
etape, lorsque l'entite cliente A veut s ' authentif ier 
aupres de l'entite d' authentif ication B, elle se signale 
25 a B par la transmission d'une demande d' authentif ication 
anonyme « DemandeAuthentif ication ». En reponse, dans une 
deuxieme etape, l'entite d' authentif ication B envoie vers 
l'entite cliente A la valeur de compteur CB correspondant 
a l'6tat courant de son compteur COMPTB. 

30 

Dans une troisieme etape, l'entite cliente A compare la 
valeur de compteur CB re<?ue avec la valeur de compteur CA 
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memorisee par l'entite cliente A. A ce stade, deux 
possibilites s' off rent a l'entite cliente A : 

Soit CA > CB, alors 1 ' entity cliente A ne fait plus rien 
car cette situation signifie qu'une entite essaye de 
faire rejouer une signature a l'entite cliente A. Or, 
selon une caracteristique de 1' invention, pour ne pas 
etre reconnaissable par son comportement , une entite 
cliente ne signe jamais deux fois les m£mes donnees . 
Cette situation met done fin au processus 
d' authentif ication. 

Soit CA < CB, alors l'entite cliente A peut avoir 
confiance en l'entite d ' authentif ication B car la valeur 
de compteur recue CB etant superieure strictement a la 
valeur de compteur m&norisee par A, cela signifie que 
cette valeur de compteur CB ne lui a encore jamais ete 
soumise pour signature. Le processus passe alors a 
1' etape suivante, 

Dans une quatrieme etape, l'entite cliente A signe la 
valeur de compteur recue CB par application de la 
fonction cryptographique S avec comme operandes la cle 
secrete K A associee a l'entite cliente A et la valeur de 
compteur CB. Le resultat de cette operation de signature 
de compteur S(K A , CB) est transmis de l'entite cliente A 
vers l'entite d' authentif ication B. L'entite cliente A 
met alors a jour dans une cinquieme etape sa valeur de 
compteur memorisee CA avec la derniere valeur de compteur 
licite qui lui a £te transmis par l'entite 
d'authentif ication B, a savoir CB. 
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Dans une sixieme 6tape, 1'entite d' authentif ication B 
recherche au moins une entity cliente Ai parmi les n 
entities clientes qu'elle est capable d' authentif ier , pour 
laquelle la signature correspondante de la valeur de 
5 compteur CB S<K Ai , CB) est coherente avec la signature de 
compteur recue de 1'entite cliente qui cherche & 
s 'authentif ier S(K A , CB) . 



Si aucune entite cliente susceptible d'etre identifiee 
10 n'est trouvee, alors cela signifie que 1 ' authentif icat ion 
a echoue. A 1' inverse, si exactement une entite cliente 
Ai est trouvee a 1' issue de la phase de recherche pour 
laquelle S (K Ai , CB) = S(K A/ CB) , alors 1'entite 
d' authentif ication B en conclut que A « Ai . Cela signifie 
15 que c'est 1'entite cliente Ai qui a cherche a 
s 'authentif ier aupres de l'entit^ d' authentif ication B et 
que cette authentif ication a reussi. 



Dans une septieme et demiere etape mettant fin au 
20 processus d' authentif ication, 1'entite d' authentif ication 
B fait croitre la valeur de compteur CB pour une 
prochaine demande d' authentif ication. 



II est possible qu'un fraudeur, en renvoyant un nombre 
25 tire au hasard, tombe sur une valeur S(K Ai/ CB) qui 
existe et done se fasse passer pour 1'entite cliente Ai . 
Pour eviter ce risque, 1'entite d' authentif ication B peut 
systematiquement faire refaire le processus 

d' authentif ication au moins une seconde fois de sorte a 
30 s'assurer qu'il reconnait chaque fois la meme entite 
cliente. Le processus peut mime §tre repetee N fois, 
jusqu'a obtenir une probability de tomber au hasard N 
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fois sur une valeur de signature correspondant a la meme 
entite cliente suf f isamment faible. 

Egalement, une autre optimisation du processus 

5 d'authentif ication concerne la gestion des cas de 
collision. En effet, a 1' issue de la sixieme etape, on 
peut aboutir a un cas de collision, c ' est-a-dire que 
plusieurs entit^s clientes Ai susceptibles d'etre 
identifiees par 1' entite d' authentif ication B ont ete 

10 trouvees pour lesquelles la signature de compteur S(K Ai , 
CB) est coherente avec la signature de compteur regue S(K 
A t CB) . II existe en effet une probability faible, mais 
non nulle, pour la fonction cryptographique de signature 
S fournisse un resultat identigue pour deux donnees 

15 differentes. Dans cette situation de collision, il est 
n^cessaire de repeter les etapes du precede a partir de 
la deuxieme etape, avec une valeur de compteur CB 
incrementee a chaque repetition, jusqu'a l'obtention 
d'une entite cliente Ai susceptible d'etre identifiee 

20 unique, pour laquelle S(K Ai , CB) = S (K A , CB) . 

La sixieme £tape, consistant en la phase de recherche par 
1' entite d' authentif ication d'au moins une entite cliente 
Ai parmi les n entites clientes qu'elle est capable 

25 d' authentif ier , pour laquelle la signature correspondante 
de la valeur de compteur CB S(K Ai/ CB) est coherente avec 
la signature de compteur regue de 1' entite cliente qui 
cherche a s ' authentif ier S(K A/ CB) , peut §tre mise en 
ceuvre de la mani^re suivante. L ' entite d' authentif ication 

30 B calcule, pour chaque entite cliente Ai susceptible 
d'Stre identifiee, la signature de compteur 
correspondante S(K Ai , CB) par application de la fonction 
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cryptographique S avec comme operandes la valeur de 
compteur d' authentif ication CB et la cle secrete associee 
K A i, de sorte a etablir une liste de couples entite 
cliente susceptible d'etre identif iee/signature de 
5 compteur correspondante (Ai, S(K Ai/ CB) ) , pour la valeur 
de compteur CB courante. 

Une fois cette liste etablie, 1' entite d' authentication 
la parcourt pour verifier s'il existe au moins une entite 
10 cliente susceptible d'etre identif iee Ai verifiant S(K Ai/ 
CB) = S(K R , CB) . 

Dans le cas ou plusieurs couples (Ai, S(K Ai/ CB) ) 
correspondent, on a vu qu'il etait necessaire de repeter 

15 les operations d' envoi et de signature d'une valeur de 
compteur CB. Neanmoins, cette repetition peut encore 
aboutir a 1' existence de plusieurs couples (Ai, S(K Ai , 
CB)) qui correspondent. Dans ce cas, il est prevu de ne 
chercher les couples possibles que parmi les couples 

20 ayant deja ete selectionnes aux iterations precedentes . 
Ainsi, le precede" convergera plus vite vers une entite 
cliente Ai unique puisque, £l chaque iteration, la 
signature de compteur S(K Ai/ CB) est calculee uniquement 
pour les entites clientes Ai correspondant aux couples 

25 (Ai, S(K Ai/ CB)) selectionnee a l'iteration precedente. 

A la sixieme etape, la phase de calcul par B, pour chaque 
entite cliente Ai susceptible d'etre identif iee, de la 
signature de compteur correspondante S(K Ai , CB) , de sorte 
30 k etablir la liste de couples entite cliente susceptible 
d'etre identif iee/signature de compteur correspondante 
(Ai, S(K Ai , CB) ) , pour la valeur de compteur CB courante 
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peut etre tres longue et penalisante en termes de temps 
de reponse. Pour regler ce probleme, selon une variante 
de 1' invention, il est prevu que l'entite 
d' authentif ication B pre-calcule, pour au moins une 
5 valeur de compteur d' authentif ication CB a venir, les 
listes de couples (Ai, S(K Ai , CB) ) pour ces valeurs CB a 
venir et memorise ces resultats . Ainsi, lorsqu'une entite 
cliente souhaitera s ' authentif ier par 1 ' envoi du message 
DemandeAuthentif ication, 1 ' entite d ' authentif ication B 

10 repondra en envoyant une valeur de compter 
d' authentif ication CB pour laquelle la liste (Ai, S{K Ai , 
CB) ) aura deja et£ etablie. De maniere generale, selon ce 
mode de realisation, tout envoi de B vers A d'une valeur 
de compteur* d' authentif ication CB correspondra a une 

15 valeur de compteur d' authentif ication pour laquelle une 
liste (Ai, S(K Ai , CB)) aura deja ete etablie. 

La phase de verification par l'entite d ' authentif ication 
B, consistant a rechercher 1' existence d'au moins une 

20 entite cliente Ai de la liste (Ai, S(K Ai , CB) ) pour 
laquelle S(K Ai , CB) = S(K A , CB) peut egalement etre tres 
longue en cas de recherche sequentielle , en theorie de 
l'ordre de n/2 tests avec une liste comportant n 
elements. Aussi, pour optimiser cette phase, la liste des 

25 couples obtenus (Ai, S(K Ai , CB) ) peut etre ordonnee de 
fagon croissante (ou decroissante) selon la valeur de la 
signature de compteur S{K Ai , CB) . La recherche d'un 
couple dans cette liste ordonnee pour lequel la signature 
de compteur S(K Ai , CB) correspond a S(K A/ CB) peut alors 

30 etre faite selon une recherche dichotomique . L'entite 
cliente recherchee est dans ce cas trouvee en moyerme 
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apres avoir effectue log 2 (n) operations, ce qui procure 
un gain de temps important. 

Le compteur CB etant unique pour chaque authentif ication, 
5 il peut §tre utilise comme identifiant de session 
d' authentif ication. Ainsi, si plusieurs entites Ai sont 
en train de se faire authentifier simultan&nent par 
l'entite B, cette derniere peut distinguer les dialogues 
grace a cette valeur. II suffit pour cela que les entites 
10 clientes cherchant a s ' authentif ier retournent la valeur 
CB en plus de la valeur de signature S (KA, CB) . 

De preference, le compteur COMPTB fournissant la valeur 
de compteur d' authentif ication CB croit d'un pas fixe. 
Toutefois, le fait que le compteur CB croisse d'un pas 
fixe permet de prevoir les valeurs de compteur 
d' authentif ication qui seront utilisees lors des 
authentifications a venir. De ce fait, un pirate peut 
demander plusieurs valeurs S(K A , CB) a une entite A pour 
plusieurs valeurs de compteurs CB et, ulterieurement , 
chercher a s ' authentif ier aupres de l'entite B en lui 
retournant les valeurs precedeinment obtenues de l'entite 
cliente A. Ainsi, le pirate peut s ' authentif ier en se 
faisant passer pour A. Deux types de parade contre une 
25 telle attaque au systeme d' authentif ication peuvent etre 
mises en oeuvre. 

Tout d'abord, une premiere parade consiste a faire 
croltre le compteur COMPTB d'un pas aleatoire a chaque 
30 authentif ication, de sorte a ne plus utiliser des valeurs 
success ives de CB. Dans ce cas, le compteur devra avoir 
une capacity plus grande afin de ne pas venir en but£e . 



15 



20 
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Une autre parade consiste a ne plus faire signer a 
l'entite cliente A cherchant k s ' authentif ier une simple 
valeur de compteur CB, mais un couple (CB, alea) , CB 
5 s 7 incrementant reguli Bremen t et al6a prenant des valeurs 
aleatoires. La valeur aleatoire est prevue pour etre 
differente pour chacune des valeurs de compteur 
d ' authentif icat ion envoyee, et chaque etape de signature 
de compteur mise en ceuvre au cours du procede 
10 d' authentif ication dans l'une quelconque de ses variantes 
est alors remplac^e par une etape de signature du couple 
(CB, alea), consistant en 1 ' application de la fonction 
cryptographique S avec en plus comme op<§rande ladite 
valeur aleatoire associee. 

15 

Le procede d' authentif ication tel qu'il vient d'etre 
decrit est vulnerable aux attaques par saut de compteur, 
basees sur le fait que les entites A et B se 
synchronisent sur la valeur de compteur CB a chaque 

20 authentif ication. Ainsi, une machine malveillante peut se 
faire passer pour l'entite d' authentif ication B et 
envoyer a l'entite cliente A cherchant a s ' authentif ier 
une valeur de compteur beaucoup plus grande que la valeur 
de compteur d' authentif ication CB effective, 

25 correspondant a la valeur courante du compteur COMPTB de 
l'entite B. En mettant a jour sa valeur de compteur 
memorisee CA avec cette grande valeur qui lui est 
soumise, l'entite A ne pourra plus r^pondre suite a une 
demande d' authentif ication tant que la valeur de compteur 

30 CB de l'entite d ' authentif ication B n'aura pas rattrapee 
cette valeur CA, a cause du test de la troisieme etape. 
De plus, si la machine malveillante fournit a l'entite A 
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une valeur de compteur maximale, cette derniere, en 
mettant a jour sa valeur de compteur memorisee CA a cette 
valeur maximale, devient def initivement inutilisable par 
la suite. 

5 

Les parades a ces attaques portent plus particulierement 
sur la troisieme etape du procede d' authentif ication, ou 
1' entity cliente A compare la valeur de compteur CB recue 
avec la valeur de compteur CA memorisee par l'entite 
10 cliente A, 

Dans le cas ou CA > CB, selon une variante de 
1' invention, les etapes intermediaires suivantes sont 
mises en oeuvre : 
15 -l'entite A signale a l'entite B que sa valeur de 
compteur memorisee CA est plus grande que la valeur CB et 
lui renvoie CA ; 

-l'entite B envoie a A une valeur de compteur CB temporaire > 
20 CA ; 

puis, les autres etapes du procede d'authentif ication 
sont mises en oeuvre sur la base de cette valeur de 
CB teni p 0raire et 7 si 1 'authentif ication de l'entite A r^ussit 

25 avec CB tGn iporaire, alors l'entit6 B met a jour sa valeur de 
compteur d' authentif ication CB correspondant & l'etat 
courant de son compteur COMPTB avec la valeur de compteur 
d'authentif ication CB teanporaire . Enfin, le compteur est 
increment^ pour une prochaine authentif ication. Ce 

30 processus permet a l'entite d' authentif ication de se 
pr^munir contre une attaque par saut de compteur. En 
effet, elle va d'abord authentif ier l'entite cliente A 
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avec CBtemporaire, avant de mettre a jour son compteur. Ce 
processus permet £galement a 1' entity cliente A de 
synchroniser le compteur de l'entite d' authentif ication B 
avec sa valeur de compteur memorisee, si ce dernier avait 
5 subi une attaque par saut de compteur. 

A ce stade, l'entite B peut aussi implementer des 
protections supplemental res , Par exemple, B peut 
n'autoriser qu'un certain nombre de ces synchronisations 

10 de compteur par entite cliente et par periode. Egalement, 
B peut n'autoriser ces protections que dans une limite 
raisonnable ou la difference entre la valeur de compteur 
memorisee par l'entite cliente CA et la valeur de 
compteur d' authentif ication CB est inferieure a une 

15 valeur predeterminee. 

Selon une autre variante, a la troisieme etape du 
procede, dans le cas ou la relation CA < CB est verifiee, 
on verifie en outre, c6te entite cliente, que la 

20 difference entre la valeur de compteur d ' authentif ication 
CB regue et la valeur de compteur CA memorisee par 
l'entite cliente est inferieure ou egale a une valeur 
predeterminee A, soit CB - CA < A. L'entite A n'accepte 
de signer la valeur de compteur CB que si cette condition 

25 supplementaire est verifiee. Cette condition 

supplementaire permet a l'entite cliente A cherchant a 
s ' authentif ier de limiter les attaques par saut de 
compteur en n'acceptant qu'une incrementation moderee de 
sa valeur de compteur memorisee et en ignorant les 

30 sollicitations utilisant une valeur de compteur 
d' authentif ication tres superieure a sa valeur de 
compteur memorisee- 
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Selon un exemple de realisation, les valeurs de compteur 
CA et CB peuvent etre des nombres binaires codes sur au 
moins 12 8 bits, ce qui pentiet d'ex^cuter 2 128 
5 authentif ications avant que le systeme n' arrive a 
1' exhaustion du compteur COMPTB. 

Les etapes du proced6 selon 1' invention cote entite 
cliente, sont par exemple implement^es sur une carte & 

10 puce, de preference une carte a puce sans contact. Une 
carte a puce pour la mise en asuvre des etapes du proc6d6 
selon 1' invention ne necessite que peu de capacite de 
calcul dans la mesure oil les operations a executer sont 
simples (au plus la signature d'un compteur). L'entite 

15 d ' authentif ication se pr^sente alors sous la forme d'un 
lecteur de carte a puce avec ou sans contact. 

Avant ageusement, grace au proced6 selon 1' invention, 
seule une entite d' authentif ication legitime peut 

20 reconnaitre l'identite de 1' entite cliente cherchant a 
s' authentif ier . L'identite de 1' entite cliente A 
cherchant a s ' authentif ier n'est connue que de 1' entite 
d' authentif ication B et n'est jamais revelee au cours de 
1 'authent if ication. De plus, 1' entite cliente A ne sait 

25 pas sous quel nom elle est identifiee par 1' entite 
d' authentif ication. L'entite qui s ' authentif ie n'a en 
fait aucune identite statique qui pourrait etre revelee. 
D' autre part, en faisant en sorte qu'une entite refuse de 
s 'authentif ier en presence d'une question qui lui a deja 

30 £te soumise, un tiers malveillant est incapable de 
distinguer des entites. Au vue de deux authentif ications 
successives, il n'est pas possible de dire si ce sont 
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deux entites distinctes ou la meme entite qui se sont 
authentif iees . L'anonymat est done complet. 



1er depot 

22 



REVENDI CATIONS 



1. Procede d' authentif ication d'au mo ins une entite 
cliente (A) par une entite d' authentif ication (B) , ladite 
entite d' authentif ication (B) comprenant un ensemble de 
cles secretes (K Ai ) , chacune etant associee a une entite 
5 cliente (Ai) susceptible d'Stre identifie§e par ladite 
entite d ' authentif ication, ledit procede etant 
caracterise en ce qu'il comprend les etapes suivantes 
consistant a : 



10 a-transmettre une demande d' authentif ication anonyme 
(Demande Authentif ication) de la part de 1' entite cliente 

(A) vers 1' entite d ' authentif ication (B) ; 

b-envoyer de 1 ' entite d' authentif ication (B) vers 
15 1' entite cliente (A), une valeur de compteur 
d' authentif ication (CB) correspondant a l'etat courant 
d'un compteur (COMPTB) de l'entite d'authentif ication 

(B) ; 



20 c-verif ier, cote entite cliente (A) , que la valeur de 
compteur d' authentif ication (CB) regue est strictement 
sup£rieure a une valeur de compteur (CA) memorisee par 
l'entite cliente ; 

25 d-calculer, cotd entite cliente (A), une signature de 
compteur par application d'une fonction cryptographique 
(S) partag^e par l'entite cliente et l'entite 
d'authentif ication, avec comme operandes ladite valeur de 
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compteur d' authentif ication (CB) et une cle secrete (K A ) 
associee a l'entite cliente (A) ; 

e-transmettre ladite signature (S(K A/ CB) ) de compteur a 
5 l'entite d' authentif ication (B) ; 

f-mettre a jour la valeur de compteur (CA) memorisee par 
l'entite cliente (A) avec ladite valeur de compteur 
d' authentif ication (CB) ; 

10 

g-rechercher, cote entite d ' authentif ication (B) , au 
moins une entite cliente (Ai ) susceptible d'etre 
identifiee, pour laquelle la signature de compteur 
correspondante (S(K Ai/ CB) ) pour ladite valeur de 
15 compteur d' authentif ication (CB) est coherente avec la 
signature de compteur recue (S(K A/ CB) ) ; 

h-faire croitre le compteur d' authentif ication (COMPTB) . 

20 2. Procede d' authentif ication selon la revendication 1, 
caracterise en ce que les etapes b) a h) sont reiterees 
au moins une fois, de sorte a s' assurer que l'entite 
cliente identifiee est identique ^. chaque iteration. 

25 3. Procede selon la revendication 1 ou 2, caracterise en 
ce que l'etape de recherche consiste a : 

i-calculer, pour chaque entite cliente (Ai) susceptible 
d'etre identified, la signature de compteur 
30 correspondante (S(K Ai , CB) ) par application de la 
fonction cryptograph! que (S) avec comme operandes la 
valeur de compteur d' authentif ication (CB) et la cle 



1er depot 

24 



secrete associee (K Ai ) , de sorte a etablir une liste de 
couples entite cliente susceptible d'§tre 

identifiee/ signature de compteur correspondante (Ai, 
S(K Ai , CB) ) , pour ladite valeur de compteur (CB) ; 

5 

j -verifier la coherence entre la signature de compteur 
regue (S(K A , CB) ) et au moins une signature de compteur 
(S(K Ai , CB) ) de ladite liste. 

10 4. Procede d' authentif ication selon la revendication 3, 
caracterise en ce que la liste des couples entite cliente 
susceptible d'etre identif i6e/signature de compteur 
correspondante (Ai, S(K Ai/ CB) ) etablie pour une valeur 
de compteur d' authentif ication (CB) donnee, est ordonnee, 
cote entite d' authentif ication, selon la valeur de ladite 
signature de compteur (S(K Ai/ CB) ) . 

5. Procede d' authentif ication selon la revendication 3 ou 
4, caracterise en ce qu'en cas de coherence entre la 
signature de compteur regue (S(KA, CB) ) et la signature 
de compteur (S(K Ai/ CB) ) d'une plurality de couples, les 
etapes b) a h) sont reiterees jusqu'a obtention d'un 
couple unique pour lequel la signature de compteur 
correspond a la signature de compteur regue. 



15 



20 



25 



30 




6. Procede d' authentif ication selon la revendication 5, 
caracterise en ce que, lors de la repetition de 1 ' etape 
i), la signature de compteur <S(K Ai/ CB) ) est calculee 
uniquement pour les entites clientes (Ai) correspondant & 
ladite pluralite de couples d£terminee a 1' iteration 
precedente . 
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7. Procede d'authentif ication selon l'une quelconque des 
revendications 3 a 5, caracterise en ce qu'il consiste a 
mettre en ceuvre l'etape i) de maniere anticipee par 
rapport a une demande d' authentif ication issue d'une 

5 entite cliente (A) a l'etape a), ladite etape i) 
anticipee consistant a. pre-etablir, c6te entite 
d'authentif ication (B) , pour au moins une valeur de 
compteur d' authentif ication (CB) a venir, la liste des 
couples entite cliente susceptible d'etre 

10 identif iee/signature de compteur correspondante (Ai, 
S(K Ai , CB) ) pour chacune desdites valeurs de compteur 
d'authentif ication a venir, et a memoriser lesdites 
listes pre-etablies cSte entite d' authentif ication (B) , 
tout envoi de 1' entite d' authentif ication (B) vers 

15 1' entite cliente (A) d'une valeur de compteur 
d' authentif ication (CB) , correspondant a l'envoi d'une 
valeur de compteur d' authentif ication (CB) pour laquelle 
une liste des couples entite cliente susceptible d'etre 
identif iee/signature de compteur correspondante (Ai, 

20 S(K Ai/ CB)) a deja ete pre-etablie. 

8. Procede d' authentif ication selon 1'une quelconque des 
revendications pr6cedentes, caracterise en ce que l'etape 
h) consiste a faire croitre le compteur 

25 d'authentif ication (COMPTB) d'un pas fixe. 

9. Procede d' authentif ication selon l'une quelconque des 
revendications 1 a 1, caracterise en ce que l'etape h) 
consiste a faire croitre le compteur d' authentif ication 

30 (COMPTB) d'un pas aleatoire. 
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10. Procede d' authentif ication selon l'une quelconque des 
revendications 1 a 8, caracteris^ en ce que, en. reponse a 
une demande d' authentif ication, l'etape b) consiste a 
envoyer, c6te entite d' authentif ication (B) , en plus de 
5 la valeur de compteur d' authentif ication (CB) , une valeur 
aleatoire associee a ladite valeur de compteur (CB) , 
ladite valeur aleatoire etant differente pour chacune des 
valeurs de compteur d' authentif ication envoyee, chague 
etape de signature de compteur mise en oeuvre au cours 
10 dudit procede etant remplacee par une etape de signature 
du couple valeur de compteur d' authentif ication/valeur 
aleatoire associee, consistant en 1 ' application de la 
fonction cryptographique (3) comprenant en plus comme 
operande ladite valeur aleatoire associee. 



11. Procede d' authentif ication selon l'une quelconque des 
revendications precedentes, caract£rise en ce que l'etape 
c) consiste en outre a verifier que la difference entre 
la valeur de compteur d' authentif ication (CB) regue et la 

20 valeur de compteur (CA) memorisee par 1' entite cliente 
est inferieure ou egale a une valeur predeterminee. 

12. Procede d' authentif ication selon l'une quelconque des 
revendications 1 a 10, caracterise en ce que, l'etape c) 

25 n' etant pas verifiee, les etapes intermediaires suivantes 
sont mises en ceuvre consistant a : 



15 



-envoyer de 1' entite cliente (A) vers 1' entite 
d' authentif ication (B) , la valeur de compteur (CA) 
30 memorisee par 1' entite cliente ; 



1er depot 
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-envoyer de l'entite d ' authentif ication (B) vers l'entite 
cliente (A) , une valeur de compteur d' authentif ication 
temporaire superieure a ladite valeur de compteur (CA) 
m6morisee par l'entite cliente, puis a : 

5 

-mettre en oeuvre les etapes d) a g) sur la base de la 
valeur de compteur d' authentif ication temporaire et, en 
cas de succfes de 1 ' authentif ication de ladite entite 
cliente, 

10 

-mettre a jour la valeur de compteur d' authentif ication 
(CB) correspondant a 1 ' etat courant du compteur (COMPTB) 
de l'entite d' authentif ication (B) avec la valeur de 
compteur d' authentif ication temporaire et mettre en oeuvre 
15 1' etape h) . 

13. Procede selon 1'une quelconque des revendi cat ions 
pr6c6dentes, caracterise en ce que 1' etape e) consiste a 
transmettre en outre a l'entite d' authentif ication (B). la 

20 valeur de compteur d' authentif ication (CB) , 

14. Procede d' authentif ication selon l'une quelconque des 
revendications precedentes , caracterise en ce que la 
valeur de compteur d ' authentif ication (CB) est codee sur 

25 au moins 128 bits. 

15. Carte a puce, caracterise en ce qu'elle comprend un 
circuit integre et des moyens de memorisation d'une cle 
secrete (K A ) et de mise en oeuvre du procede selon l'une 

30 quelconque des revendications 1 a 14, 
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16. Carte a puce selon la revendication 15, caracterise 
en ce qu'il s'agit d'une carte a puce sans contact. 



17. Entity d'authentif ication 
5 cliente (A) , caracterise en 
lecteur de carte a puce dote 
ceuvre du precede selon 
revendications 1 a 14 . 



(B) d'au moins une entite 
ce qu'elle comprend un 
de moyens pour la mise en 
1 ' une quelconque des 



10 18. Entite d'authentif ication selon la revendication 17, 
caracterise en ce qu'elle comprend un lecteur de carte a 
puce sans contact. 



1 er depot 
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26 bis. rue de Saint Patersbourg - 75800 Paris Cedex 08 
Pour vous Informer : INPI DIRECT 



ON° Indigo 



) 0 825 83 85 87) 

0.15 enc;™ 

T«l4cople : 33 (0) 1 53 04 52 65 



reyue le 07/04/04 

BREVET D'lNVEi^TION 
CERTIFICAT D'UTILITE 

Code de fa propriety inteilectuelle • Livre VI 

DESIGNATION D'INVENTEUR(S) Page IT 7../?. 

{A fournir dans le cas ou les demandeurs et les 
inventeurs ne sont pas les memes personnes) 



mm 



\ 

N° 11235*03 



DB113 0W/ 210103 



Vos references pour ce dossier (facullatif) 


017174 FR JPB/YL 


N° D'ENREGiSTREMENT NATIONAL 





Procede d'authenfification anonyme 



LE(S) DEMANDEUR(S) : 

FRANCE TELECOM 
6 rue d'Alleray 
75015 PARIS 
FRANCE 



DESIGNE(NT) EN TANT QU'INVENTEUR(S) : 



H Nom 


CHARLES 


Prenoms 


Olivier 


Adresse 


Rue 


104 rue Raymond Losserand 


Code postal et ville 


17 l 5l Oi 1 1 41 PARIS 


Societe d'appartenance (facultatif) 






ARDITTI 


Prenoms 


David 


Adresse 


Rue 


46ter, rue Paul Vaillant-Couturier 


Code postal et ville 


19 1211 I4l0l CLAMART 


Societe d'appartenance (facullatif) 




Nom 


NGUYEN NGOC ~~\ 


Prenoms 


Sebastien 


Adresse 


Rue 


60-62 rue Gabriel Peri 


Code postal et ville 


I9i2f3 t2i0 ICHATILLON 


Societe d'appartenance (facultatij) 





S'il y a plus de trois inventeurs, utilisez plusieurs formulates. Indlquez en haut a droite le N° de la page suivi du nombre de pages. 



DATE ET SIGNATURE(S) 
DU (DES) DEMANDEUR(S) 
OU DU MANDATAIRE 
(Nom et quatite du signataire) 

BENTZ Jean-Paul 
99.0308 




La loi n°78-17 du 6 janvier 1978 relative a I'informatique, aux fichiers et aux libertes s'applique aux reponses faites a ce formulaire. 
Elle garantit un droit d'acces et de rectification pour les donnees vous concernant aupres de I'lNPI. 




mwniiuf 

26 bis, rue de Saint Petersbourg - 75800 Paris Cedex 08 
Pour vaus informer : 1NP1 DIRECT 



0825 83 85 87) 

O.lStTTCAm 



TSIecopie : 33 (0)1 53 04 52 65 



regue le 07/04/04 

B&EWET D'lNVENHON 
CERTJFICAT D'UTILITE 

Code de la propriety intellectuelle - Livre VI 

DESIGNATION D f INVENTEUR(S) Page N° ?. 

(A fournir dans le cas ou les demandeurs et les 
inventeurs ne sont pas les mimes personnes) 

Cet imprime est a remplir lisiblement a I'encre noire 




N* 11235*03 



/?. 



08 113 6W/ 210103 



Vos references pour ce dossier (facttltatij) 


017174 FRJPB/YL 


N° D'ENREGISTREMENT NATIONAL 





TITRE DE V INVENTION (200 caracteros ou ©spaces maximum) 

Precede* d'authenfification anonyme 



LE(S) DENZANDEUR(S) : 

FRANCE TELECOM 
6 rue d'Alleray 
75015 PARIS 
FRANCE 



DESIGNE(NT) EN TANT QU'INVENTEUft($) : 





BARITAUD 


Prenoms 


Thierry 


Adresse 


Rue 


16 avenue Dubonnet 


Code postal et ville 


IP . 2i 4i Oi 01 COURBFVOIE 


Societe d'appartenance (facultatij) 




jg8 Nom 




Prenoms 




Adresse 


Rue 




Code postal et ville 


I I I I t I 


Societe d'appartenance (facultatij) 




M Nom 




Prenoms 




Adresse 


Rue 




Code postal et ville 


I I I I I I 


Societe d'appartenance (facultatij) 





SMI y a plus de trois inventeurs, utilisez plusieurs formulaires. Indiquez en haut a droite le N° de ia page suivi du nombre de pages. 



DATE ET SIGNATURE^) 
DU (DES) DEMANDEUR(S) 
OU DU MANDATAIRE 
(Nom et qualite du signataire) 

BENTZ Jean-Paul 
99.0308 




La loi n°78-17 du 6 janvier 1978 relative a I'informatique, aux fichfers et aux libertes s'applique aux reponses faites a ce formulaire. 
Eile garantit un droit d'acces et de rectification pour les donnees vous concernant aupres de I'INPI. 



